为什么 IP IP 间谍软件威胁例外的"地址豁免"下的地址不被排除在间谍软件修改行动之外。
29043
Created On 07/16/20 04:11 AM - Last Modified 11/01/23 19:25 PM
Question
- 反间谍软件配置文件配置在 GUI :>安全配置文件>反间谍软件的对象。
- 在例外选项卡中, IP 地址已包含在" IP 地址豁免"下
- 设置此设置后,客户的假设是,匹配配置地址的包 IP 将免除修改后的威胁行为。
- 实际上,匹配地址的包 IP 不是免于威胁行为,而是遵循修改后的行为。
Environment
- 所有 PAN-OS
- 帕洛阿尔托 Firewall .
- 已配置反间谍软件配置文件。
Answer
- 当您为间谍软件签名添加异常时,这意味着更改默认行为,并且修改后的行为将应用于所有流量匹配的流量。
- 但是,当 IP 地址添加到间谍软件例外时,仅适用于这些地址的修改操作。 其余流量将采取默认操作。 每个签名最多可加100个IP,这些 IP 地址可以作为源/目的地 IP 。
- 此功能通常被错误地视为"例外选项卡下的 IPs IP 将免除修改后的行为",相比之下,新行为仅适用于这些 IP,而所有其他流量将免除。
- 在以下示例中,对间谍软件签名的修改,14978: TLS 发现可疑逃逸,将仅适用于两个IP 172.168.3.10和10.46.162.5。 这些 IP 可以分在源字段或目标字段中。